HAKA-infrastruktuuri

Kotiorganisaation käyttäjähallinnon kuvaus

Versio

Tekijä

Päiväys

0.1

Jouni Poikolainen 

23.8.2006

0.2

Jouni Poikolainen 

31.8.2006

0.3

Kimmo Hamalainen 

5.1.2007

0.4

Kimmo Hamalainen 

20.2.2008

0.5

Kimmo Hamalainen 

13.1.2009

0.6

Kimmo Hamalainen 

22.5.2013

0.7

Kimmo Hamalainen 

5.2.2018

0.8

Kimmo Hamalainen 

25.5.2018

Tässä dokumentissa ollaan kiinnostuneita käyttäjätietokannan ja sen tietojen ajantasaisuuden toteutuksen yleisistä periaatteista sellaisella tasolla, joka antaa riittävät tiedot käyttäjätietojen laadun ja ajantasaisuuden arvioimiseksi.
Kotiorganisaatio asettaa tämän dokumentin www:hen kaikkien saataville. Dokumentti linkitetään Haka-infrastruktuurin kotisivulta.
Tässä dokumentissa käyttäjätietokannalla tarkoitetaan sitä loppukäyttäjien attribuuttien joukkoa, johon organisaation Shibboleth origin tukeutuu. Käyttäjätietokannan tekninen toteutus voi olla esim. LDAP-hakemisto tai relaatiotietokanta, tai niiden yhdistelmä niin, että Shibboleth origin -palvelin hakee osan attribuuteista LDAP-hakemistosta ja osan JDBC:n yli opiskelijarekisteristä. 

1. Käyttäjätietokannan ja perusrekistereiden kytkentä

1.1. Opiskelijarekisteri

Lähtöoletuksena on, että opiskelijarekisterin henkilötiedot ovat ajantasalla.
Miten käyttäjätietokanta on kytketty opiskelijarekisteriin?
Novell LDAP tiedot synkronoidaan ASIO-AMK järjestelmästä.

1.1.1. Uusi opiskelija

Miten uuden opiskelijan tiedot päivittyvät opiskelijarekisteristä käyttäjätietokantaan?
Kun uusi opiskelija lisätään ASIO-AMK järjestelmään, niin syntyy siirtotiedosto, jolla opiskelijan tiedot viedään käyttäjätietokantaan.

1.1.2. Opiskelijan tiedoissa tapahtuu muutos

Miten opiskelijan muuttuneet tiedot päivittyvät opiskelijarekisteristä käyttäjätietokantaan?
Tiedot päivitettyvät välittömästi siirtotiedoston avulla.

1.1.3. Opiskelija lakkaa olemasta opiskelija

Koska organisaatio katsoo, että opiskelija lakkaa olemasta opiskelija? (Kuinka pian sen jälkeen opiskelija valmistuu/eroaa? Kuinka pian sen jälkeen kun lukukausi vaihtuu ja opiskelija ei ole ilmoittautunut läsnäolevaksi?)
Miten tämä tieto päivittyy käyttäjätietokantaan?
a) silloin kun opiskelija valmistuu. Eli opintotoimisto merkitsee opiskelijan valmistuneeksi, jonka jälkeen opiskelijalla on viikon verran mahdollista kirjautua järjestelmiin, ennenkuin tunnus lukittuu.
b) silloin kun opiskelija ei ole ilmoittautunut läsnä olevaksi ilmoittautumisajan sisällä. Tällöin tunnusta ei lukita, mutta merkitään käyttäjän oikeuksiin, ettei haka-kirjautumista sallita.
c) silloin kun opiskelija ilmoittaa keskeyttävänsä opintonsa, jolloin hänen tunnuksensa lukitaan.
Tiedot päivittyvät välittömästi siirtotiedoston avulla, jonka jälkeen kirjautuminen ei ole enää mahdollista. Tunnukset säilyvät järjestelmässä kuitenkin vielä kaksi viikkoa.

1.2. Henkilökuntarekisteri

Vastaavasti kuin edellä.

1.2.1. Uusi työntekijä

Käyttäjähallinto luo uuden tunnuksen kun työsopimus tehdään. Käytännössä tämä tapahtuu siten, että henkilöstöpalveluissa käsitellään työntekijän työsopimus ja erillisen www-sivun kautta ilmoitetaan uudesta tunnuksesta. Tämän jälkeen käyttäjähallinto luo työntekijälle tunnuksen.

1.2.2. Työntekijän tiedoissa tapahtuu muutos

Käyttäjähallinto päivittää työntekijän tiedot mikäli sellaiselle ilmaantuu tarvetta, ts. käyttäjä esittää perustellun syyn muutokselle.

1.2.3. Työntekijä lakkaa olemasta työntekijä

Henkilöstöhallinta ilmoittaa käyttäjähallintaan työsuhteen loppumisesta, jonka jälkeen käyttäjätunnus lukitaan.

1.3. Muut käyttäjät ja heidän henkilötietojensa ajantasaisuus

Mille muille käyttäjille organisaatio antaa käyttäjätunnuksia (Suomen Akatemian tutkijat? Ravintolahenkilökunta? Siviilipalvelusmiehet? Dosentit? Alumnit? Emeritukset? Kirjaston asiakkaat?)
Miten heidän käyttäjätietojensa ajantasaisuus ja sulkeutuminen/roolitiedon päivittyminen on varmistettu?
Sellaiset käyttäjät, jotka eivät ole luonnollisia henkilöitä (esim. ainejärjestöt), eivät ole myöskään Haka-infrastruktuurin tarkoittamia loppukäyttäjiä, eikä heidän kirjautumistaan shibboleth originin kautta palveluihin tule sallia.
Muita tunnuksia hallinnoidaan yksityiskohtaisesti. Tunnukset ovat omassa organisaatioyksikössään, eikä niille siten sallita Shibboleth-origin kautta kirjautumista.

2. Henkilöllisyyden todentaminen

2.1. Käyttäjätunnuksen antamisen yhteydessä

Millä tavalla uuden käyttäjän henkilöllisyys todennetaan, kun hänelle annetaan käyttäjätunnus?
Opiskeljoille tunnus annetaan kuvallista henkilöllisyystodistusta vastaan.

Henkilökuntaan kuuluvan henkilöllisyys todennetaan ensisijaisesti matkapuhelimella tunnusten ylläpitäjän toimesta. Toissijaisesti voidaan tunnukset antaa paikallisesta atk-tuesta, jolloin henkilöllisyys tunnistetaan kuvallisesta henkilöllisyystodistuksesta.

2.2. Kun käyttäjä kirjautuu käyttäjätunnuksen avulla

Salasanatodennukseen liittyvät laatuvaatimukset.
Salasanan minimipituus 8 merkkiä ja vaihdettava vuoden välein. Samaa salasanaa ei voi käyttää uudestaan.

3. Käyttäjätietokannassa saatavilla olevat tiedot

Rasti kohtaan "Saatavuus", jos kyseinen henkilötieto on ajantasalla ja siten saatavilla Shibboleth origin-palvelimen yli.
Kohtaan "Miten ajantasaisuus turvataan" esimerkiksi viittaus luvun 1. järjestelmiin.
Jos organisaatiolla on omia (ei siis funetEduPersonin mukaisia) attribuutteja, jotka näkyvät ulospäin Shibboleth originista, lisää ne taulukon loppuun. Tarvittaessa linkki dokumenttiin, joka tarkemmin kuvailee omien attribuuttien skeeman.


Attribuutti

Saatavuus

Miten ajantasaisuus turvataan

Muuta (esim. tulkintaohje)

cn

X

  1.1, 1.2

 

sn

X

  1.1, 1.2

 

uid

X

Generoidaan tunnuksen luonnin yhteydessä.

 

givenname

X

 

 

mail

X

 

 

funetEduPersonHomeOrganization

 

 

 

telephoneNumber

 

 

 

description

 

 

 

seeAlso

 

 

 

userPassword

 

 

 

title

 

 

 

street

 

 

 

facsimileTelephoneNumber

 

 

 

o

 

 

 

postalAddress

 

 

 

postalCode

 

 

 

ou

 

 

 

l

 

 

 

displayName

X

 1.1, 1.2

 

jpegPhoto

 

 

 

labeledURI

 

 

 

userCertificate

 

 

 

preferredLanguage

 

 

 

homePhone

 

 

 

homePostalAddress

 

 

 

mobile

 

 

 

eduPersonAffiliation

X

 1.1

student - employee

eduPersonScopedAffiliation

X

 1.1

student@jamk.fi - employee@jamk.fi

eduPersonTargetId

X

 

 

eduPersonPrimaryAffiliation

X

 1.1

student - employee

eduPersonEntitlement

 

 

 

eduPersonPrincipalName

X

Generoidaan tunnuksen luonnin yhteydessä.

user@jamk.fi

employeeNumber

X

Generoidaan tunnuksen luonnin yhteydessä.

nationalIdentificationNumber

X

eduPersonOrgDN

 

 

 

eduPersonOrgUnitDN

 

 

 

eduPersonPrimaryOrgUnitDN

 

 

 

funetEduPersonIdentityCode

 

 

 

funetEduPersonDateOfBirth

 

 

 

funetEduPersonTargetDegreeUniversity

 

 

 

funetEduPersonTargetDegreePolytechnic

 

 

 

funetEduPersonEducationalProgramUniv

 

 

 

funetEduPersonEducationalProgramPolytech

 

 

 

funetEduPersonOrientationAlternPolytech

 

 

 

funetEduPersonMajorUniv

 

 

 

funetEduPersonStudentID

 

 

 

schacHomeOrganization

X

 Vakiotieto jamk.fi

jamk.fi

schacHomeOrganizationType

X

 

fi:polytechnic

funetEduPersonProgram

X

 

 

 

 

 

 

 

 

 

 

4. Muuta

4.1. Kardinaliteetit

Yksi henkilöllisyys per tosielämän käyttäjä, vai
Yksi henkilöllisyys per rooli (esim. opiskelija-työntekijällä kaksi käyttäjätunnusta)?
Pääasiassa yksi henkilöllisyys per tosielämän käyttäjä, mutta voi olla joitain joilla on esim opiskelija ja henkilökuntatunnus.

4.2. EduPersonPrincipalNamen revokointi ja kierrätys

Voiko eduPersonPrincipalName vaihtua?
Vaihdetaan vain jos omistaja esittää erittäin perustellun syyn.

Millä tavalla organisaatio kierrättää vapautuneita eduPersonPrincipalName-arvoja?
Vapaituneita eduPersonPrincipanName-arvoja ei kierrätetä.